Hi,

prinzipiell gebe ich Dir Recht. Es kann aber bei sehr kleinen Projekten einen Sinn haben, die z.B. keine Datenbank nutzen und auch ansonsten sehr simpel gestrickt sind.

Häh? Ich hab doch gar nichts gegen die Speicherung in einer Datei gesagt. Nur dagegen, die Paßwörter direkt statt eines Hashs zu speichern.

Es geht niemanden außer dem User selbst etwas an, welches Paßwort der User benutzt - auch nicht den Betreiber der Seite oder den Server-Admin oder wer sonst noch den Speicherort der Zugangsdaten besichtigen kann.

An dieser Stelle erscheint es mir, als hätte @Linuchs ein kleines Tool für ausschließlich seine Zwecke mit sehr überschaubarem Nutzerkreis und Funktionalität geschaffen.

Selbst dann: das konkrete Paßwort darf nicht lesbar sein. Viele User nutzen ein Paßwort für viele Zwecke … (sollten sie nicht tun, aber die Realität sieht doch anders aus)

Ob man hier gleich professionelle Maßstäbe an die Sicherheit der Passwortspeicherung ansetzen sollte...? Schon klar, währet den Anfängen

"wehret"!

Und irgendwann wird das Projekt ein bißchen größer und der Nutzerkreis wächst, oder die Login-Logik wird für ein weiteres Projekt wiederverwendet …

• daher hat Dein Posting seine unzweifelhafte Berechtigung. Aber berücksichtigt es auch den Rahmen?

ja.

cu,
Andreas a/k/a MudGuard